モバイルアプリと連携するバンキングマルウェア、アカウント搾取の新たな手口か

攻撃側はFacebookの2要素認証に使われるコードを盗む目的で、SMS傍受機能を持った不正なAndroidアプリ使った可能性があるとESETは推定する。

[鈴木聖子，ITmedia]

　インターネットバンキングの情報を盗み出すマルウェアが、Androidを標的とした不正アプリを利用して、Facebookの2要素認証をかわそうとする手口が見つかったという。セキュリティ企業のESETが4月16日のブログで報告した。

　ESETによると、この手口ではインターネットバンキングの情報を盗むマルウェアの「Qadars」と、Android端末から送受信されるSMSを傍受するなどの機能を持った不正アプリの「iBanking」を組み合わせて利用している。iBankingは銀行などの2要素認証サービスでSMSを使ってユーザーに送信されるワンタイムパスワードなどの情報を盗む目的で使われているという。

　Qadarsに感染したコンピュータでFacebookにログインすると、「Facebookユーザーの個人情報に対する不正アクセスが増えていることを受け、安全な認証のための独自のツールを開発しました」と称する画面を表示。アプリケーションのダウンロードを促し、携帯電話の番号とOSの種類を入力させる。

　この画面でAndroidを選ぶと、アプリをダウンロードさせるためのリンクやQRコードが表示される。

アプリダウンロードを誘う（ESETより）

　Facebookの2要素認証ではSMSを使ってセキュリティコードをユーザーに送信する仕組みになっており、攻撃側はこのコードを盗む目的でiBankingを使った可能性があるとESETは推定する。「Facebookの2要素認証を使うユーザーが増えて通常のログイン情報でアカウントを乗っ取る手口の効率が悪くなったため、スパイ機能を持つiBankingを端末にインストールさせる手口を採用した」という。

　iBankingはアンダーグラウンドフォーラムで出回っているとされ、「いずれ他のマルウェアに取り込まれて、携帯電話を使った2要素認証を提供しているWeb上の他の人気サービスが標的にされる可能性は十分ある」とESETは予想している。